In questa pagina vengono descritti i passaggi per eseguire la migrazione di uno o più certificati a Gestore certificati. Copre i seguenti scenari:
- Esegui la migrazione dei certificati di terze parti a Certificate Manager.
- Esegui la migrazione dei certificati di Cloud Load Balancing a Gestore certificati. Per maggiori informazioni informazioni sui certificati di Cloud Load Balancing, consulta la panoramica dei certificati SSL nella documentazione di Cloud Load Balancing.
Entrambi gli scenari non comportano tempi di riposo, a condizione che non si verifichino errori durante la configurazione.
Per ulteriori informazioni sulle entità Gestore certificati menzionate in questa pagina, consulta Come funziona Gestore certificati.
Eseguire la migrazione dei certificati di terze parti a Gestore certificati
Questa sezione descrive come eseguire la migrazione di uno o più certificati forniti da un servizio di terze parti a Gestore certificati.
Prima di iniziare, devi selezionare e configurare un bilanciatore del carico supportato. Gestore certificati consente di acquisire e gestire il Transport Layer Certificati di sicurezza (TLS) da utilizzare con le seguenti risorse del bilanciatore del carico:
Proxy HTTPS di destinazione utilizzati dai bilanciatori del carico delle applicazioni:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni classico
- Bilanciatore del carico delle applicazioni esterno regionale
- Bilanciatore del carico delle applicazioni interno regionale
- Bilanciatore del carico delle applicazioni interno tra regioni
Proxy SSL di destinazione utilizzati dai bilanciatori del carico di rete proxy:
- Bilanciatore del carico di rete proxy esterno globale
- Bilanciatore del carico di rete proxy classico
Completa i seguenti passaggi per ogni certificato di cui vuoi eseguire la migrazione:
Esegui il deployment del certificato di destinazione con autorizzazione DNS come descritto in Eseguire il deployment di un certificato gestito da Google con autorizzazione DNS (tutorial), fino ai passaggi di pulizia, ma senza includerli. Utilizza un'unica mappa di certificati per tutti i certificati di cui esegui la migrazione al bilanciatore del carico.
Per ogni certificato di cui hai eseguito il deployment nel passaggio precedente, testa la connettività a ciascun dominio coperto dal certificato sull'indirizzo IP del bilanciatore del carico utilizzando il seguente comando:
openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
Sostituisci quanto segue:
DOMAIN_NAME
: il nome del dominio di destinazioneIP_ADDRESS
: l'indirizzo IP del bilanciatore del carico
Per ulteriori informazioni sul test della connettività, vedi Eseguire test con OpenSSL
Per trasferire il traffico dal servizio di terze parti a Cloud Load Balancing, completa i passaggi riportati di seguito in Aggiornare i record DNS A e AAAA in modo che puntino all'indirizzo IP del bilanciatore del carico.
Esegui la migrazione dei certificati Cloud Load Balancing a Certificate Manager
Questa sezione descrive come eseguire la migrazione di uno o più certificati Cloud Load Balancing in Gestore certificati.
Identifica i certificati di cui eseguire la migrazione
Completa i seguenti passaggi per identificare i certificati di cui vuoi eseguire la migrazione:
Sul bilanciatore del carico di destinazione, identifica il nome del proxy di destinazione.
Identifica i certificati di cui vuoi eseguire la migrazione utilizzando il comando seguente per ottenere informazioni sul proxy di destinazione, inclusi i certificati allegati:
gcloud compute target-https-proxies describe TARGET_PROXY_NAME
Sostituisci
TARGET_PROXY_NAME
con il nome del proxy di destinazione.L'output è simile al seguente:
creationTimestamp: '2021-10-06T04:05:07.520-07:00' fingerprint: c9Txdx6AfcM= id: '365692570234384780' kind: compute#targetHttpsProxy name: my-proxy selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy sslCertificates: - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map
Per ulteriori informazioni, consulta Ottenere informazioni su un proxy di destinazione.
Crea i certificati in Gestore certificati
Crea i certificati selezionati in Gestore certificati come segue:
- Per ciascun certificato autogestito, completa i passaggi descritti in Caricare un certificato autogestito.
- Ti consigliamo di creare ogni certificato gestito da Google con un'autorizzazione DNS. completando i passaggi descritti in Eseguire il deployment di un certificato gestito da Google con autorizzazione DNS (tutorial) fino a ma esclusa la sezione "Esegui il deployment del certificato in un bilanciatore del carico" passaggio. Completerai questo passaggio più avanti nella guida.
Prima di passare al passaggio successivo, attendi che lo stato di ogni certificato sia impostato su ACTIVE
come descritto in
Verificare che il certificato sia attivo.
Possono essere necessarie diverse ore prima che ciascun certificato venga emesso e il relativo stato passi a ACTIVE
.
Crea la mappa di certificati
Per eseguire il deployment del certificato in un bilanciatore del carico delle applicazioni esterno globale o in un bilanciatore del carico delle applicazioni classico, crea una mappa dei certificati completando i passaggi descritti in Creare una mappa dei certificati.
Non è necessaria una mappa dei certificati per eseguire il deployment del certificato in un bilanciatore del carico delle applicazioni esterno regionale o in un bilanciatore del carico delle applicazioni interno regionale.
Crea le voci della mappa di certificati
Per eseguire il deployment del certificato su un bilanciatore del carico delle applicazioni esterno globale o un bilanciatore del carico delle applicazioni classico, crea una voce della mappa di certificati. Non è necessaria una voce della mappa dei certificati per eseguire il deployment di un certificato in un bilanciatore del carico delle applicazioni esterno regionale o in un bilanciatore del carico delle applicazioni interno regionale.
Crea voci della mappa di certificati per ogni certificato di cui vuoi eseguire la migrazione facendo riferimento a tali certificati come segue:
Ottieni i dettagli del certificato utilizzando il seguente comando:
gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME
Sostituisci
CERTIFICATE_NAME
con il nome del certificato di destinazione.L'output è simile al seguente:
-----BEGIN CERTIFICATE----- MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63 ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5 cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499 iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b 9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9 NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9 WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw 9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8= -----END CERTIFICATE----- creationTimestamp: '2021-05-06T04:39:21.736-07:00' expireTime: '2022-06-07T01:10:34.000-07:00' id: '6422259403966690822' kind: compute#sslCertificate managed: domainStatus: a.my-domain1.example.com: ACTIVE b.my-domain2.example.com: ACTIVE domains: - a.my-domain1.example.com - b.my-domain2.example.com status: ACTIVE name: my-certificate selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate subjectAlternativeNames: - a. my-domain1.example.com - b. my-domain2.example.com type: MANAGED
Per ogni dominio elencato nel campo
subjectAlternativeNames
, crea una voce della mappa dei certificati che lo copra completando i passaggi descritti in Creare una voce della mappa dei certificati. Se più di un certificato copre un singolo dominio, devi creare una sola voce della mappa di certificati e utilizzare qualsiasi relativo al dominio.(Facoltativo) Crea una voce della mappa di certificati principale che faccia riferimento al certificato corrispondente alla prima certificato dall'elenco dei certificati originariamente collegati al proxy come descritto in Creare una voce della mappa di certificati principale.
Utilizza il seguente comando per verificare che ogni voce della mappa di certificati che hai creato sia attiva:
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Sostituisci quanto segue:
CERTIFICATE_MAP_ENTRY_NAME
: il nome del target voce mappa di certificatiCERTIFICATE_MAP_NAME
: il nome del certificato mappa a cui questa voce di mappa di certificati si collega
L'output è simile al seguente:
createTime: '2021-09-06T10:01:56.229472109Z' name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
(Facoltativo) Testa la configurazione su un nuovo bilanciatore del carico
Per ridurre al minimo i tempi di inattività, ti consigliamo di testare le mappe di certificati appena configurate su un nuovo bilanciatore del carico che non gestisce traffico di produzione. In questo modo puoi rilevare e risolvere eventuali errori prima la migrazione nell'ambiente di produzione.
Testa la configurazione nel seguente modo:
Crea un nuovo bilanciatore del carico con un nuovo proxy di destinazione, come descritto in Configurare un bilanciatore del carico delle applicazioni esterno.
Se utilizzi un bilanciatore del carico delle applicazioni esterno, collega la mappa di certificati che vuoi testare al proxy di destinazione del nuovo bilanciatore del carico come descritto in Collega la mappa di certificati al proxy di destinazione.
Se utilizzi un bilanciatore del carico delle applicazioni esterno regionale o un bilanciatore del carico delle applicazioni interno regionale, collega il certificato al proxy di destinazione come descritto Eseguire il deployment di un certificato autogestito a livello di regione.
Per ogni dominio di destinazione incluso nella migrazione, verifica la connettività al dominio sull'indirizzo IP del nuovo bilanciatore del carico utilizzando il seguente comando:
openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
Sostituisci quanto segue:
DOMAIN_NAME
: il nome del dominio di destinazioneIP_ADDRESS
: l'indirizzo IP del nuovo bilanciatore del carico
Per ulteriori informazioni sul test della connettività, consulta Eseguire test con OpenSSL
Pulisci l'ambiente di test
Ripulisci l'ambiente di test creato nei passaggi precedenti come segue:
Scollega la mappa di certificati dal proxy:
gcloud compute target-https-proxies update PROXY_NAME \ --clear-certificate-map
Sostituisci
PROXY_NAME
con il nome del proxy di destinazione.Elimina il bilanciatore del carico di test come descritto in Eliminare il bilanciatore del carico.
Non eliminare le voci dei certificati, della mappa di certificati o della mappa di certificati che hai creato nei passaggi precedenti.
Applica la nuova mappa di certificati al bilanciatore del carico di destinazione
Dopo aver testato la nuova configurazione del certificato e confermato che è valida, applica la nuova mappa di certificati al bilanciatore del carico di destinazione come segue.
Se utilizzi un bilanciatore del carico delle applicazioni esterno, allega la nuova mappa dei certificati al proxy di destinazione appropriato come descritto in Allega la mappa dei certificati al proxy di destinazione.
Se utilizzi un bilanciatore del carico delle applicazioni esterno regionale o un bilanciatore del carico delle applicazioni interno regionale, collega il certificato al proxy di destinazione come descritto Eseguire il deployment di un certificato autogestito a livello di regione.
Attendi fino a quando la modifica alla configurazione non è stata applicata e il bilanciatore del carico ha iniziato a gestire il nuovo certificato. Di solito ci vogliono pochi minuti, ma possono essere necessari fino a 30 minuti.
Se noti problemi con il traffico, scollega la nuova mappa dei certificati dal proxy di destinazione completando i passaggi descritti in Scollegare una mappa dei certificati da un proxy. Questa operazione ripristina del bilanciatore del carico alla configurazione originale. In caso contrario, la nuova configurazione è completa.
Se utilizzi un bilanciatore del carico delle applicazioni esterno regionale o un bilanciatore del carico delle applicazioni interno regionale, ripristina la modifica allegando i certificati classici allegati in precedenza.
Passaggi successivi
- Esegui il deployment di un certificato gestito da Google con autorizzazione DNS (tutorial)
- Esegui il deployment di un certificato gestito da Google con l'autorizzazione del bilanciatore del carico (tutorial)
- Eseguire il deployment di un certificato gestito da Google con il servizio CA (tutorial)
- Eseguire il deployment di un certificato autogestito globale (tutorial)
- Esegui il deployment di un certificato autogestito regionale (tutorial) (anteprima)